微软Azure资安中心服务再升级加强支援Linux容器安全提高基础架构可视度

微软

历经这三五年，容器技术不再只是开发者嚐鲜的新工具，已经逐渐于企业内部IT环境落地。不过，新兴技术是否能大幅被企业应用，安全性是当中的关键考量。近日，微软Azure下的资讯安全中心服务（Azure Security Center），新增了三大资安功能，加强防护IaaS环境内容器执行环境的安全。

首先是提升Linux主机上容器的可视度。微软表示，新增了「容器」的浏览选项，可以列出所有内有执行Docker容器的虚拟机。当虚拟机出现资安疑虑时，资讯安全中心会一併列出虚拟机内容器的资讯，包含执行的Docker版本，以及该主机内映像档的执行数目。

再者微软也整合网路安全中心（Center for Internet Security，CIS）针对Docker容器制定的安全标準，Azure资讯安全中心完成扫描Docker的组态设定，会列出不符合规定之处，并且给予改正方向，协助企业提高容器组态设定安全。

最后是提供即时容器威胁扫描服务。微软表示，Azure资讯安全中心整合Linux内建的稽核工具AuditD，可以提供使用者即时威胁侦测功能。该公司解释，系统会辨认Docker容器内是否有可疑活动，例如虚拟主机内新增了执行权限高的特权容器（privileged container），或者不法人士滥用资源挖矿。

 Azure资讯安全中心整合了CIS组织释出的Docker安全标準。如上图，在完成扫描后，除了列出容器的基本资讯，还会建议维运人员如何改善系统安全。图片来源：微软